30 Haziran 2026

Siber Güvenlik Bülteni - Haziran 2026

 

Bültenimizin Haziran Ayı konu başlıkları; 
  • PAN-OS GlobalProtect VPN’de Kritik Zafiyet 
  • FortiBleed Kampanyası Fortinet Cihazlarını Hedef Alıyor
  • Check Point VPN Açığı Aktif Saldırı Altında
  • Meta'da Yapay Zeka Skandalı: Chatbot'u Kandırarak 20 Bin Instagram Hesabını Hacklediler
  • Cisco'da Durdurulamayan Seri: 2026'nın 7. SD-WAN Açığı

PAN-OS GlobalProtect VPN’de Kritik Zafiyet

Saldırganlar, Palo Alto Networks'ün PAN-OS GlobalProtect VPN teknolojisindeki bir güvenlik açığını kötüye kullanarak kimlik doğrulamasını atlıyor ve geçerli kimlik bilgileri olmadan VPN erişimi elde ediyor. Mayıs ayında Palo Alto Networks (PAN), CVE-2026-0257 olarak izlenen bu hatayı açıklamış ve düzeltmişti; ancak geçen hafta güvenlik bildirisini güncelleyerek, "hafifletme önlemleri uygulanmamış ve yamalanmamış PAN-OS cihazlarında sınırlı sayıda sömürü (exploit) girişimi" olduğunu belirtti.

Bu güncelleme, araştırmacıların 17 Mayıs gibi erken bir tarihte "çok sayıda müşteride" başarılı sömürü faaliyetleri tespit etmesinin hemen ardından geldi. Ve 29 Mayıs'ta Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu açığı Bilinen Kötüye Kullanılan Zafiyetler (KEV) kataloğuna ekledi. Hata, bildiride listelenen çeşitli sürümlerdeki PAN-OS yazılımının GlobalProtect portalını ve ağ geçidini (gateway) etkiliyor. Şirket içindeki bir araştırmacı tarafından keşfedilen bu zafiyet, başlangıçta 7.8 CVSS skoru alarak "orta" derece önemde sınıflandırılmıştı; çünkü bu açığın tetiklenmesi için güvenlik duvarlarında (firewall) GlobalProtect portalı veya ağ geçidinin hem kimlik doğrulama geçersiz kılma çerezlerinin (authentication override cookies) etkin olması hem de belirli bir sertifika yapılandırmasına sahip olması gerekiyordu. Ancak bu durum siber saldırganları durdurmadı.

Araştırmacılar, kuruluşları bu açığı kritik bir zafiyet olarak ele almaya çağırıyor; bunun nedeni sadece açığın aktif olarak sömürülmesi değil, aynı zamanda "dışa açık bir kurumsal VPN cihazında kimlik doğrulama atlamanın, etkilenen kuruluşlar üzerinde çok ciddi etkiler yaratabilmesi." "Bu nedenle, etkilenen cihazları çalıştıran kuruluşların acil olarak üretici tarafından sağlanan yamaya yükseltme yapmaları şiddetle tavsiye edilir" denildi. Araştırmacılar, şu ana kadar "cihazlardan ağın içine doğru başarılı bir yanal hareket (lateral movement) izine rastlamadıklarını" ekledi.

Ancak birden fazla müşteri ortamında başarılı saldırılar gözlemlediler. Birçok vakada saldırganlar, sahte kimlik doğrulama çerezleri kullanarak meşru kullanıcıların kimliğine büründü ve GlobalProtect ağ geçitlerinde kimlik doğrulaması sağladı. İlk saldırıların ardından, sonraki haftalarda ikinci bir aktivite dalgası yaşandı ve bazı saldırganlara VPN adresleri atandığına ve iç ağa erişim sağladıklarına dair kanıtlar elde edildi.

Sorun, GlobalProtect portalı veya ağ geçidinin kimliği doğrulanmış bir kullanıcıya çerez vermesini sağlayan "kimlik doğrulama geçersiz kılma" (authentication override) özelliğinde yatıyor.

Araştırmacılara göre, eğer yöneticiler hem HTTPS hizmetleri hem de çerez şifreleme için aynı sertifikayı tekrar kullanırlarsa, saldırganlar sertifikanın açık anahtarını (public key) ele geçirebiliyor ve PAN'ın VPN ağ geçidi tarafından geçerli kabul edilen sahte çerezler üretebiliyor.

Palo Alto Networks teknolojileri, saldırganların kurumsal ağa erişmesini engelleyen bir güvenlik sınırı oluşturduğu için, bu teknolojilerdeki güvenlik hataları sık sık hedef alınıyor. Bu yılın başlarında tehdit aktörleri, PAN-OS yazılımında kimliği doğrulanmamış bir saldırganın belirli PHP betiklerini çağırmasına izin veren ayrı bir kimlik doğrulama atlama açığını daha hedef almıştı. CISA, ilk tespit edildiğinde bir sıfır-gün (zero-day) açığı olan bu CVE-2025-0108 zafiyetinin de yamalanmasını tavsiye etmişti.

PAN’a göre, bu durumda CVE-2026-0257'den etkilenen müşterilerin PAN'ın düzeltmesini mümkün olan en kısa sürede uygulaması en doğru yöntem olacaktır. PAN, eğer bu mümkün değilse, kimlik doğrulama geçersiz kılma çerezleri için özel bir sertifika kullanmaları, yalnızca bunlara özel yeni bir sertifika üretmeleri ve bunu güvenli bir şekilde saklamaları gerektiğini belirtti. Şirket, portal veya ağ geçidi sertifikasının yeniden kullanılmamasının ve bu sertifikanın diğer özellikler veya kullanıcılarla paylaşılmamasının da önemli olduğunu ekledi.

Ağlarını korumak için kuruluşlar, PAN kılavuzuna göre GlobalProtect portal ve ağ geçidi yapılandırmasında çerez üretme ve kabul etme seçeneklerinin tümünün işaretini kaldırarak "kimlik doğrulama geçersiz kılma" özelliğini tamamen devre dışı bırakabilirler.

FortiBleed Kampanyası Fortinet Cihazlarını Hedef Alıyor

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FortiGate cihazlarına sahip Fortinet müşterilerini, internet üzerinden erişilebilen binlerce cihazı hedef alan ve devam eden kötü niyetli faaliyetlere karşı önlem almaya çağırdı.

Bu kapsamlı kampanya "FortiBleed" olarak adlandırıldı. Ele geçirilen cihaz sayısı 19 Haziran 2026 itibarıyla 86.644'e ulaştı.

Telekomünikasyon, hükümet ve eğitim en çok etkilenen ilk üç sektör olarak öne çıkarken, en fazla maruz kalma Hindistan, ABD, Meksika, Kolombiya ve Tayland'da bulunuyor.

Tehdit aktörünün, Fortinet uzaktan oturum açma uç noktaları için interneti kitlesel olarak taradığı ve ardından bu belirlenen uç noktalara, içeri sızmak amacıyla bilinen oturum açma adı ve parola kombinasyonlarını denemek (credential stuffing/spray) için özel bir araç kullandığı söyleniyor.

Tamamen otomatikleştirilmiş bu saldırı, kendi kendini sürdüren, iki adımlı bir yaklaşım etrafında inşa edilmiştir:

  1. Tehdit aktörü, internetteki cihazlara karşı sızdırılmış Fortinet parolalarından oluşan derlenmiş bir listeyi dener.
  2. Erişim sağlandıktan sonra, ek kimlik bilgileri toplamak için cihazlardan geçen ağ trafiğini pasif olarak izlerler ve bu bilgiler daha sonra daha fazla cihazı ele geçirmek için kullanılır.
Kimlik bilgileri meşru ve geçerlidir; saldırganlar bunları onaylanmış, çalışan oturum açma bilgilerinden oluşan bir veri tabanına eklemeden önce her birini doğrulamaktadır.

İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), FortiBleed'i, kaba kuvvet (brute-force), sözlük saldırısı (dictionary attack) ve kimlik bilgisi doldurma (credential stuffing) gibi yöntemleri kullanarak internete açık Fortinet güvenlik duvarlarını ve VPN ağ geçitlerini hedef alan küresel bir kampanya olarak tanımladı.

Tehdit aktörlerinin, büyük ölçekli saldırıyı gerçekleştirmek için muhtemelen eski kimlik bilgisi karma (hashing) mekanizmalarından ve kimlik bilgilerinin geçmişte FortiGate yapılandırma dosyalarında saklanma şeklinden yararlandığından şüpheleniliyor.

Fortinet sözcüsü, "söz konusu verilerin muhtemelen önceki olaylardan elde edilen verilerin yeniden paylaşılması ve kimlik bilgilerinin kaba kuvvetle kırılmasıyla ilgili olduğunu, mevcut herhangi bir olay veya bildiriyle ilgili olmadığını" belirterek kuruluşları, güvenlik kimlik bilgilerini düzenli olarak değiştirmek ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek de dahil olmak üzere en iyi uygulamaları takip etmeye çağırdı.

Güncelleme

19 Jun 2026'da paylaşılan bir gönderide Fortinet, FortiBleed kampanyasının muhtemelen CVE-2026-24858, CVE-2025-59718 ve CVE-2025-59719 gibi önceki olaylardan kalan kimlik bilgilerinin tehdit aktörleri tarafından yeniden kullanılmasını içerdiğini ve bunun yanı sıra parolası zayıf olan ve çok faktörlü kimlik doğrulaması (MFA) bulunmayan cihazlara karşı kaba kuvvet teknikleri uygulandığını belirtti.

Kötü niyetli faaliyetlere karşı savunma yapmak için şirket aşağıdaki önerileri listeledi:
  • Tüm yönetici ve VPN oturumlarını sonlandırın ve kimlik bilgilerini sıfırlayın.
  • MFA uygulayın.
  • 7.4, 7.6 veya 8.0'ın en son sürümlerine yükseltin.
  • Güvenlik duvarı ile VPN kullanıcılarını ve diğer yapılandırmaları yetkisiz değişikliklere karşı inceleyin.
  • Bilinmeyen bir IP adresinden beklenmeyen yönetici erişiminin yanı sıra yanal hareket, olağandışı erişim, şüpheli hesaplar veya yetkisiz yapılandırma değişiklikleri için günlükleri (logs) denetleyin.
  • Harici yönetimi güvenilir ana bilgisayarlar (trusted hosts) aracılığıyla kısıtlayın (iyi), yerel bir ilke (local-in policy) uygulayın (daha iyi) veya internet üzerinden yönetimi tamamen kaldırın (en iyisi).

Fortinet Baş Bilgi Güvenliği Sorumlusu (CISO) Carl Windsor, "Eğer AD/LDAP entegrasyonu yapılandırılmışsa, bu hesabı ele geçirilmiş olarak kabul etmek ve başka bir yerde kimlik doğrulama amacıyla kullanılıp kullanılmadığını veya ek hesaplar oluşturulup oluşturulmadığını görmek için AD'nizi izlemek ve ağınızı yanal hareketlere karşı gözlemlemek önemlidir" dedi.

Check Point VPN Açığı Aktif Saldırı Altında

Check Point yaptığı açıklamada, VPN ve güvenlik duvarı (firewall) ürünlerini etkileyen kritik önemdeki bir kimlik doğrulama atlama (authentication bypass) zafiyetinin, internette bir sıfır-gün (zero-day) açığı olarak kötüye kullanıldığı konusunda uyardı.

CVE-2026-50751 (CVSS skoru: 9.3) olarak izlenen bu güvenlik açığı, Uzaktan Erişim (Remote Access) ve Mobil Erişim (Mobile Access) sertifikalarının doğrulama sürecindeki bir mantık akışı hatası (logic flow weakness) olarak tanımlanıyor.

Bu hata, artık kullanımı önerilmeyen (deprecated) IKEv1 anahtar değişiminde (key exchange) bulunuyor ve uzaktan saldıranların geçerli bir parola olmadan VPN oturumları başlatmasına olanak tanıyor.

Check Point'e göre, güvenlik açığı 7 Mayıs'tan bu yana internette aktif olarak sömürülüyor ve buna yönelik siber faaliyetler Haziran ayının başlarında artış gösterdi.

Şirket yayınladığı güvenlik bildirisinde, "Bugüne kadar gözlemlenen sömürü faaliyetleri, küresel çapta hedeflenmiş birkaç düzine kuruluşla sınırlı kalmıştır" notunu düştü.

Check Point ayrıca, en az bir saldırının Qilin fidye yazılımı (ransomware) ortağı tarafından gerçekleştirildiğinin doğrulandığını belirtti.

Check Point, "Sömürü sonrası gözlemlediğimiz faaliyetlere dayanarak, CVE-2026-50751 açığının arkasındaki aktörün finansal motivasyona sahip olduğunu ve Qilin fidye yazılımını kullandığını orta derece güvenle değerlendiriyoruz. Bu tehdit aktörü altyapısının Palo Alto, Fortinet ve F5 tarafından yayınlananlar gibi diğer VPN ile ilgili güvenlik açıklarını da kötüye kullandığına inanıyoruz" açıklamasında bulundu.

Şirket, bu siber güvenlik hatasını araştırırken, IKEv1 anahtar değişiminin sertifika doğrulama mantığında ikinci bir sorun daha tespit etti. CVE-2026-50752 olarak izlenen bu ikinci açık, saldırganların VPN site-to-site (siteden siteye) bağlantılarına aradaki adam (man-in-the-middle) saldırıları düzenlemesine olanak tanıyor; ancak henüz internette kötüye kullanıldığına dair bir iz tespit edilmedi.

Check Point, her iki CVE'yi de çözmek için etkilenen cihazlara yönelik acil yamalar (hotfixes), saldırı göstergeleri (IoCs) ve hafifletme kılavuzu yayınladı.

Meta'da Yapay Zeka Skandalı: Chatbot'u Kandırarak 20 Bin Instagram Hesabını Hacklediler

Meta, yapay zeka destekli bir hesap kurtarma destek aracını kötüye kullanan yakın tarihli bir saldırıda yaklaşık 20.000 Instagram hesabının hacklenmiş olabileceğini söyledi.

Saldırganlar, yalnızca Meta'nın chatbot'una kendi e-posta adreslerini hedef alınan hesaba bağlamasını söyleyerek birçok Instagram hesabını ele geçirdi. Bu durum, hackerların hesap parolasını sıfırlamasına ve hesabın kontrolünü ele geçirmesine olanak tanıdı.

Bildirildiğine göre, birçok yüksek profilli hesap ele geçirildi ve karanlık ağda (dark web) satıldı. Etkilenen hesapların listesinde Obama Beyaz Sarayı, Sephora ve ABD Uzay Kuvvetleri Başçavuşu John Bentivegna'nın hesapları da yer alıyordu. Bazı siber suçlular, saldırının nasıl çalıştığına dair videolar ve talimatlar paylaştı.

Bu araç, kullanıcıların kilitlenen hesaplarına yeniden erişim sağlamalarına yardımcı olmak için tasarlanmıştır ve hackerlar, Instagram parolalarını sıfırlamak için araçtaki bir güvenlik açığını kötüye kullanmıştır.

"Kullanıcılar HTS'den destek talep edebilir ve bu sürecin bir parçası olarak e-posta adreslerine bir parola sıfırlama bağlantısı gönderilmesini isteyebilirler. Aracın kendisi düzgün çalıştı ve tasarlandığı gibi işlev gördü; ancak ayrı bir kod yolundaki bir hata nedeniyle sistem, parola sıfırlama talebinde bulunan kişinin sağladığı e-posta adresinin, o kullanıcının Instagram hesabıyla ilişkili e-posta adresiyle eşleşip eşleşmediğini düzgün bir şekilde doğrulamadı.

Sonuç olarak, bir kişi hesapla daha önce ilişkili olmayan bir e-posta adresi sağladığında, sistem talebi reddetmek yerine hatalı bir şekilde bu ilişkisiz e-postaya bir parola sıfırlama bağlantısı gönderdi. Bu durum, yetkisiz üçüncü tarafların sahibi olmadıkları hesaplar için bir parola sıfırlama bağlantısı almalarına izin verdi. Parolayı sıfırladıktan sonra, eğer hesap sahibi iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmediyse, yetkisiz taraf hesaba giriş yapabildi."

Meta, ele geçirilen hesaplarda saklanan kişisel bilgilere erişilip erişilmediğinin belirsiz olduğunu söyledi. Ancak saldırganlar profil bilgilerini, e-posta adreslerini, telefon numaralarını, doğum tarihlerini, direkt mesajları (DM), sosyal medya gönderilerini, hesap etkinliği ve etkileşim geçmişi bilgilerini ele geçirmiş olabilirler.

Sosyal medya devi, kötüye kullanılan aracı devre dışı bıraktı ve zafiyetin giderildiğinden emin olduktan sonra aracı yeniden etkinleştirecek.

Güvenlik açığından yararlanılarak oluşturulan parola sıfırlama bağlantıları geçersiz kılındı. Ayrıca, etkilenen hesaplar zorunlu bir güvenlik kontrol noktasına dahil edildi ve parolaları sıfırlandı.

Cisco'da Durdurulamayan Seri: 2026'nın 7. SD-WAN Açığı

Cisco müşterilerini, internette aktif olarak sömürülen bir başka SD-WAN ürünü güvenlik açığı hakkında bilgilendirdi.  Bu zafiyet ile birlikte 2026 yılında sömürüldüğü tespit edilen yedinci zafiyet oldu.

Cisco tarafından henüz yamalanmamış olan bu yeni güvenlik açığı CVE-2026-20245 olarak izleniyor ve Cisco Catalyst SD-WAN Manager'ın komut satırı arayüzünü (CLI) etkiliyor.

Kimliği doğrulanmış yerel bir saldırgan, özel olarak tasarlanmış dosyalar aracılığıyla root (en yetkili kullanıcı) olarak rastgele komutlar yürütmek için bu açığı kötüye kullanabilir.

Cisco yayınladığı güvenlik bildirisinde, "Bu güvenlik açığı, kullanıcı tarafından sağlanan girdilerin yetersiz doğrulanmasından kaynaklanmaktadır" açıklamasında bulundu. "Bir saldırgan, etkilenen sisteme özel olarak hazırlanmış bir dosya yükleyerek bu zafiyeti kötüye kullanabilir. Başarılı bir sömürü, saldırganın etkilenen sistemde komut enjeksiyonu (command injection) saldırıları gerçekleştirmesine ve yetkilerini root kullanıcısı seviyesine yükseltmesine olanak tanıyabilir."

Bir saldırganın bu hatayı suistimal edebilmesi için hedef sistemde 'netadmin' yetkilerine sahip olması gerektiğine dikkat çekti; bu yetki ise ya ele geçirilmiş kimlik bilgileriyle ya da CVE-2026-20182 veya CVE-2026-20127 gibi diğer SD-WAN zafiyetlerinin sömürülmesi yoluyla elde edilebilir.

Üretici, "Cisco, diğer yöntemlerle gerçekleştirilen başarılı bir sömürü faaliyetinden haberdar değildir" dedi. "Cisco, bu hatanın sömürülmesinin uç cihazlara (edge devices) bir yapılandırma değişikliği gönderilmesiyle sonuçlandığı sınırlı sayıda vaka gözlemlemiştir."

CVE-2026-20182, şirketin internette aktif olarak sömürüldüğünü öğrenmesinin ardından Mayıs ayı ortalarında Cisco tarafından düzeltilmişti. Bu kimlik doğrulama atlama (authentication bypass) hatası, daha önce SD-WAN sistemlerine yetkisiz erişim sağlamak için CVE-2026-20127 açığını da sömüren UAT-8616 olarak tanımlanan bir tehdit aktörü tarafından sıfır-gün (zero-day) olarak kötüye kullanılmıştı.

CVE-2026-20245 açığı Cisco'ya Mandiant tarafından bildirildi. Bu sıfır-gün açığını sömüren saldırılar hakkında henüz bir bilgi paylaşılmadı, ancak SecurityWeek detaylar için Mandiant ile iletişime geçti.

Cisco, Ürün Güvenliği Olay Müdahale Ekibi'nin (PSIRT) güvenlik açığının sömürüldüğünü Haziran ayında öğrendiğini belirtti; bu da şirketin bunu ifşa etmek için acele ettiğini gösteriyor.

Cisco, saldırı göstergelerini (IoCs) kullanıma sundu. Yamalar gelecek bir Catalyst SD-WAN Manager sürümüne dahil edilecek ve şu an için herhangi bir geçici çözüm (workaround) bulunmuyor.

2026 yılında sömürüldüğü ortaya çıkan diğer Cisco SD-WAN ürünü güvenlik açıkları arasında CVE-2026-20128, CVE-2026-20122 ve CVE-2026-20133 yer alıyor. Daha eski bir güvenlik açığı olan CVE-2022-20775'in de bu yıl internette aktif olarak sömürüldüğü işaretlenmişti.

Ve Tüm Bu Siber Saldırılara Karşı
TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

Bizi arayın: 0216 450 25 94
[email protected]

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

01 Haziran 2026

Siber Güvenlik Bülteni - Mayıs 2026

 

Bültenimizin Mayıs Ayı konu başlıkları; 
  • Kritik FortiClient EMS Açığı: EKZ Infostealer Tehlikesi
  • Microsoft Exchange Server'da Kritik Sıfırıncı Gün
  • cPanel ve WHM'de Kritik Güvenlik Açığı: Sunucular Tehdit Altında
  • SonicWall Güvenlik Duvarlarında Kritik Açıklar
  • Tedarik Zinciri Saldırganlarının Yeni Hedefi GitHub

Kritik FortiClient EMS Açığı: EKZ Infostealer Tehlikesi

Nisan ayında yamalanan kritik bir FortiClient Endpoint Management Server (EMS) zafiyeti, bilgi çalan zararlı yazılımlar (infostealer) dağıtmak amacıyla düzenlenen yeni saldırılarda istismar edildi.

CVE-2026-35616 olarak takip edilen (9.1 CVSS skoruna sahip) bu zafiyet, uzaktan kod çalıştırma (RCE) amacıyla hazırlanmış özel istekler vasıtasıyla uzaktan istismar edilebiliyor ve kimlik doğrulaması gerektirmiyor.

Fortinet, Nisan ayının başlarında bu güvenlik açığı için acil yamalar (hotfix) yayınlamış, zafiyetin süreç içerisinde bir sıfırıncı gün (zero-day) olarak istismar edildiği konusunda uyarıda bulunmuş ve acil yama uygulanması çağrısında bulunmuştu.

Yamalanmamış FortiClient EMS kurulumları, şu anda sahte bir Fortinet uç nokta yaması gibi gizlenmiş EKZ Infostealer zararlı yazılımını dağıtan bir kampanyada hedef alınıyor.

Araştırmacılar, "Gözlemlenen çalıştırma modeli, tehdit aktörlerinin, yönetilen uç noktalara kötü amaçlı PowerShell komutları göndermek için meşru yönetim operasyonlarına benzeyen bir yöntemle FortiClient'ın kendi yönetim yolunu kullandığını gösteriyor," diyor.

Araştırmacılar, FortiClient EMS'in FortiClient cihazları, politikaları ve yapılandırmaları için merkezi bir yönetim platformu olarak işlev görmesi nedeniyle, cihaza erişimin saldırganlara yönetilen her uç noktada kod çalıştırma olanağı sağladığına dikkat çekiyor.

Bu saldırılarda dağıtılan bilgi çalan zararlı yazılım; kimlik bilgisi, çerez (cookie) ve otomatik doldurma verilerini çalmak için Chrome, Microsoft Edge, Firefox ile diğer Chromium ve Gecko tabanlı tarayıcıları hedef alıyor. Toplanan veriler HTTP üzerinden dışarı sızdırılıyor.

Kuruluşların, CVE-2026-35616 için Fortinet'in yamalarını mümkün olan en kısa sürede uygulamaları tavsiye ediliyor.

Microsoft Exchange Server'da Kritik Sıfırıncı Gün

Microsoft Patch Tuesday güncellemeleriyle 137 zafiyeti yamaladı ve siber güvenlik sektörü, son güncellemelerin herhangi bir sıfırıncı günü ele almadığını görünce şaşırdı. Ancak, bu durumdan sadece 48 saat sonra, 14 Mayıs'ta bir sıfırıncı gün ifşa edildi.

CVE-2026-42897 olarak takip edilen Exchange sıfırıncı günü; Exchange Server Subscription Edition, 2016 ve 2019 sürümlerini etkileyen bir sahtecilik (spoofing) ve XSS sorunu olarak tanımlandı.

Microsoft yayınladığı güvenlik bildirisinde, "Microsoft Exchange Server'da web sayfası oluşturma sırasında girdilerin uygunsuz şekilde nötralize edilmesi ('cross-site scripting'), yetkisiz bir saldırganın bir ağ üzerinden sahtecilik (spoofing) yapmasına olanak tanıyor," dedi.

Şirket, zafiyetin Exchange Outlook Web Access (OWA) uygulamasını etkilediğini ve bir saldırganın, hedefteki kullanıcıya özel olarak hazırlanmış bir e-posta göndererek bunu istismar edebileceğini belirtti.

Microsoft, "Eğer kullanıcı e-postayı Outlook Web Access'te açarsa ve belirli etkileşim koşulları karşılanırsa, tarayıcı bağlamında keyfi JavaScript çalıştırılabilir," açıklamasında bulundu.

cPanel ve WHM'de Kritik Güvenlik Açığı: Sunucular Tehdit Altında

Hackerlar, cPanel ve WHM (WebHost Manager) sunucu ve site yönetim platformundaki kritik önemdeki bir kimlik doğrulama atlatma zafiyetini aylardır istismar ediyor.

CVE-2026-41940 olarak takip edilen (9.8 CVSS skoruna sahip) bu zafiyet, 28 Nisan'da cPanel'in acil yama uygulanması çağrısında bulunmasıyla ifşa edildi; cPanel, 11.40'tan sonraki tüm yazılım versiyonlarının etkilendiği uyarısında bulundu.

Giriş akışını etkileyen bu güvenlik zafiyeti, uzaktaki ve kimlik doğrulaması yapmamış saldırganların kontrol paneline yönetici erişimi elde etmesine ve sistemin ele geçirilmesine yol açabilir.

Kanada Siber Güvenlik Merkezi'nin (Canadian Centre for Cyber Security) belirttiği üzere, sorunun başarıyla istismar edilmesi, bir saldırganın sunucu yapılandırmalarını değiştirmesine ve paylaşımlı barındırma (hosting) sunucularındaki tüm web sitelerini potansiyel olarak tehlikeye atmasına neden olabilir.

Uzmanlar, bir Shodan aramasının, saldırılara maruz kalabilecek yaklaşık 1,5 milyon internete açık cPanel örneği gösterdiği konusunda uyarıyor.

Esasen bu hata, bir saldırganın oturum dosyasına belirli parametreleri yazmak için bir yetkilendirme başlığı (authorization header) aracılığıyla belirli karakterleri enjekte etmesine ve ardından enjekte edilen kimlik bilgilerini kullanarak kimlik doğrulaması yapmak için dosyanın yeniden yüklenmesini tetiklemesine olanak tanıyor.

Barındırma sağlayıcısı KnownHost tarafından yapılan bir Reddit paylaşımına göre, zafiyet 23 Şubat 2026'dan beri aktif olarak istismar ediliyor.

Sorundan haberdar edildikten hemen sonra KnownHost, HostPapa, InMotion, Namecheap ve diğer barındırma sağlayıcıları, yamaları güvenli bir şekilde dağıtmak için cPanel ve WHM portlarına erişimi engelledi.

Düzeltmeler; cPanel & WHM 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.136.0.5 ve 11.134.0.20 sürümlerine ve WP Squared 136.1.7 sürümüne dahil edildi.

cPanel yayınladığı güvenlik bildirisinde, "Eğer sunucunuz cPanel'in bu güncellemeye uygun, desteklenen bir sürümünü çalıştırmıyorsa, etkilenebileceğinden dolayı sunucunuzu mümkün olan en kısa sürede güncellemek için çalışmanız şiddetle tavsiye edilir," notunu düşüyor.

SonicWall Güvenlik Duvarlarında Kritik Açıklar

SonicWall, SonicOS yazılımındaki üç zafiyeti gideren bir güvenlik bildirisi yayınladı.

Araştırmacılar tarafından keşfedilen bu kusurlar, saldırganların erişim kontrollerini atlatmasına, kısıtlanmış servislere ulaşmasına veya güvenlik duvarını çökerterek bir hizmet dışı bırakma (DoS) durumuna neden olmasına izin verebilir.

Yöneticilerin, ağlarını potansiyel istismarlara karşı güvence altına almak için en son aygıt yazılımı (firmware) güncellemelerini derhal uygulamaları isteniyor.

SonicWall SonicOS Zafiyetleri

Bildiri, çeşitli nesil SonicWall güvenlik duvarlarını etkileyen üç farklı zafiyeti özetliyor.

  • CVE-2026-02048.0 CVSS skoruna sahip bir hatalı erişim kontrolü kusurudur ve zayıf kimlik doğrulama nedeniyle saldırganların belirli koşullar altında bazı yönetim arayüzü işlevlerine erişmesine olanak tanır.
  • CVE-2026-02056.8 CVSS skoruna sahip kimlik doğrulama sonrası bir dizin geçişi (path-traversal) zafiyetidir ve bir saldırganın normalde kısıtlanmış olan servislere erişmesini sağlar.
  • CVE-2026-02064.9 CVSS skoruna sahip kimlik doğrulama sonrası yığın tabanlı bir arabellek taşması (stack-based buffer overflow) kusurudur ve uzaktaki bir saldırganın güvenlik duvarı cihazını çökertmesine izin verir.
Bu zafiyetler; Nesil (Generation) 6, 7 ve 8 ürün gruplarındaki çok çeşitli SonicWall donanım ve sanal güvenlik duvarlarını etkilemektedir.
  • 6.5.5.1-6n ve daha eski sürümleri çalıştıran Nesil 6 donanım güvenlik duvarları savunmasızdır.
  • 7.0.1-5169 veya 7.3.1-7013 ya da daha eski sürümleri çalıştıran Nesil 7 güvenlik duvarları etkilenmektedir.
  • Nesil 7 NSv sanal platformları, 7.0.1-5169 ve 7.3.1-7013 veya daha eski sürümlerde etkilenmektedir.
  • 8.1.0-8017 ve daha eski sürümleri çalıştıran Nesil 8 güvenlik duvarları yama gerektirmektedir.
SonicWall, bu güvenlik sorunlarını çözmek için düzeltilmiş aygıt yazılımı sürümleri yayınladı.
Yöneticiler, Gen6 cihazları için 6.5.5.2-28n, Gen7 cihazları için 7.3.2-7010 ve Gen8 cihazları için 8.2.0-8009 sürümüne yükseltme yapmalıdır.
Ancak acil yama uygulamak mümkün değilse, SonicWall maruz kalan cihazları korumak için geçici bir çözüm (workaround) uygulanmasını şiddetle tavsiye ediyor:
  • Tüm arayüzlerde HTTP ve HTTPS tabanlı güvenlik duvarı yönetimini ve ayrıca SSLVPN'i tamamen devre dışı bırakmalısınız.
  • Yönetimsel kontrolü sürdürmek için, uygun aygıt yazılımı güncellemelerini uygulayana kadar yönetim erişimini yalnızca SSH ile kısıtlayın.

Gen6 Cihazları İçin Uyarı

Nesil 6 güvenlik duvarlarını çalıştıran kuruluşlar, düzeltilmiş 6.5.5.2-28n sürümüne güncelleme yaparken dikkatli olmalıdır.

SonicWall, bu yamalı aygıt yazılımından önceki herhangi bir sürüme sürüm düşürme (downgrade) yapılmaması konusunda açıkça uyarıyor.

Gen6 cihazlarında bir aygıt yazılımı sürüm düşürmesi gerçekleştirmek, tüm LDAP kullanıcılarının silinmesine ve tüm Çok Faktörlü Kimlik Doğrulama (MFA) yapılandırmalarının tamamen sıfırlanmasına neden olacaktır.

Bir sürüm düşürme işlemi zorunlu hale gelirse, yöneticilerin sonrasında tüm LDAP ve MFA ayarlarını manuel olarak yeniden yapılandırması gerekecektir.

Veri kaybını önlemek için yükseltme işlemine başlamadan önce her zaman tam bir yapılandırma yedeği (backup) alın.

Tedarik Zinciri Saldırganlarının Yeni Hedefi GitHub

GitHub, bir çalışanının zararlı bir VS Code eklentisi yüklemesi sonucunda yaklaşık 3.800 dahili deposunun (repository) ihlal edildiğini doğruladı.

Şirket, o zamandan beri ismi açıklanmayan trojan barındıran eklentiyi VS Code pazar yerinden kaldırdı ve ele geçirilen cihazı güvence altına aldı.

Şirket yaptığı açıklamada, "Dün, bir çalışanımızın cihazında zehirli bir VS Code eklentisini içeren bir siber saldırı tespit ettik ve kontrol altına aldık. Zararlı eklenti sürümünü kaldırdık, uç noktayı (endpoint) izole ettik ve derhal olay müdahale sürecini başlattık," dedi.

"Mevcut değerlendirmemiz, bu faaliyetin yalnızca GitHub'a ait dahili depoların dışarı sızdırılmasını kapsadığı yönündedir. Saldırganın ~3.800 depo hakkındaki mevcut iddiaları, şu ana kadarki soruşturmamızla doğrusal olarak tutarlıdır."

GitHub henüz saldırıyı resmi olarak bir aktöre bağlamamış olsa da, TeamPCP hacker grubu Salı günü Breached siber suç forumunda GitHub kaynak kodlarına ve "~4.000 özel kod deposuna" eriştiklerini iddia ederek, çalınan veriler için en az 50.000 dolar talep etmişti.

Siber suçlular, "Her zaman olduğu gibi bu bir fidye talebi değildir, GitHub'a şantaj yapmakla ilgilenmiyoruz; 1 alıcı çıktığı an verileri kendi tarafımızda imha edeceğiz, görünüşe göre emekliliğimiz yakın, bu yüzden alıcı bulunamazsa verileri ücretsiz olarak sızdıracağız," dedi. "Eğer ilgileniyorsanız, tekliflerinizi aşağıdaki iletişim kanallarına gönderin; 50 bin doların altıyla ilgilenmiyoruz, en iyi teklifi veren her şeyi alacaktır."

TeamPCP, daha önce GitHub, PyPI, NPM ve Docker dahil olmak üzere geliştirici kod platformlarını hedef alan büyük tedarik zinciri saldırılarıyla ve yakın zamanda (iki OpenAI çalışanını da etkileyen) "Mini Shai-Hulud" tedarik zinciri kampanyasıyla ilişkilendirilmişti.

VS Code eklentileri, Microsoft'un kod editörüne özellikler eklemek veya araçları entegre etmek için VS Code Marketplace'ten (eklentiler için resmi mağaza) yüklenebilen yan programlardır.

Pazar yerinde trojan barındıran bir VS Code eklentisinin tespit edilmesi ilk kez yaşanmıyor; zira son birkaç yılda, geliştirici kimlik bilgilerini ve diğer hassas verileri çalmak için kullanılan, milyonlarca kuruluma sahip birden fazla zararlı eklenti görülmüştü.

Örneğin geçen yıl, 9 milyon kuruluma sahip VS Code eklentileri güvenlik riskleri nedeniyle kaldırılmış ve meşru geliştirme araçları gibi görünen 10 eklenti daha, kullanıcılara XMRig kripto madencilik yazılımı bulaştırmıştı.

Yılın ilerleyen dönemlerinde, WhiteCobra adlı bir tehdit aktörünün mağazayı kripto para çalan 24 eklentiyle doldurmasının ardından, temel fidye yazılımı özelliklerine sahip zararlı bir eklenti daha VS Code pazar yerine sızmıştı.

Daha yakın bir zamanda, Ocak ayında, 1,5 milyon kuruluma sahip ve yapay zeka tabanlı kodlama asistanı olarak reklamı yapılan iki zararlı eklenti, ele geçirilen geliştirici sistemlerinden Çin'deki sunuculara veri sızdırmıştı.

GitHub'ın bulut tabanlı platformu şu anda 4 milyondan fazla kuruluş (Fortune 100 şirketlerinin %90'ı dahil) ve 420 milyondan fazla kod deposuna katkıda bulunan 180 milyondan fazla geliştirici tarafından kullanılmaktadır.

Ve Tüm Bu Siber Saldırılara Karşı
TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

Bizi arayın: 0216 450 25 94
[email protected]

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Popüler Yayınlar